5G是第五代移动通信技术,它具有高速率、低时延、高可靠性、高容量和高连接密度等特点,可以为各行各业提供更好的网络服务,支持多种创新应用场景。高校是教育和科研的重要场所,需要高效和安全的网络服务,以支持教学、学习、研究和管理等活动。本文意在通过5G切片技术拓展校园网网络边界,使得师生可以方便、快捷、高效地访问学校资源,从而提高教学效率和质量,扩大教学资源和服务,促进教学创新和改革,为高校的发展和社会的进步做出贡献。
校园网网络现状分析
高校为师生提供了丰富多样的信息化服务,以适应信息化技术的快速发展。然而,由于访问场景的限制和数据安全考虑,这些应用系统往往只能在校内使用,无法对外开放。其中,高校校内资源涵盖了高校为教师和学生提供的各种教育和科研资源,例如图书馆、数据库、实验室、教学平台、科研平台等。这些资源是高校的宝贵财富,可以支持高校的教学、科研、创新和社会服务等多个方面的工作。但是,由于这些资源的使用受到校内网络的限制,这就给师生的信息化服务造成了不便和困扰。尤其是图书馆文献资源,目前各高校购买的文献资源大多采用场地授权,通过绑定特定的出口IP完成对用户的身份认证与授权。该授权方式严重依赖校园网本身,对校外用户访问文献资源非常不友好,限制了文献资源的利用效率和范围。为了解决这些问题,高校需要安全、可靠、便捷的远程接入服务来满足用户的需求。
反向代理技术
反向代理是通过代理服务器来接受用户网络访问请求,然后由代理服务器来帮助用户完成对内网的访问。代理服务器负责对用户进行身份认证和访问控制,并且代理服务器本身并不保存真实的服务数据,从而有效地隔离了内网和外网,保障内网数据的安全。该方案的特点是兼容性好,使用简单,用户侧不需要单独安装客户端软件,甚至零配置即可使用。但该方案存在的问题也是很明显的,由于基于Web代理技术,该技术方案仅支持BS架构的应用。近几年以Web VPN形式存在的产品还需要对应用进行适配,存在应用兼容性问题。对于高校中大量存在运算平台,正版化,需要客户端的电子资源等非Web协议的应用基本不能满足需求。
VPN技术
VPN是通过建立专用的虚拟隧道,在逻辑层面创建虚拟网络,用户请求数据通过虚拟隧道进入内网,从而实现访问学校资源。VPN技术具有较高的安全性,并且弥补了反向代理对非Web协议不友好的缺陷,使得用户近乎完全处于校内的使用体验。但VPN一般需要安装专用客户端或者对终端进行配置,并且每次使用都需要验证登录。VPN一般要求服务器端与客户端版本一致,如果服务器端进行了版本升级,用户启用客户端时会强制要求升级,严重影响用户的使用体验。由于MAC OS版本间差异较大以及Linux用户群体较小,VPN客户端往往在这两种系统上存在兼容性问题,而这两种系统在高校中占有较大比重。
5G技术
本文主要介绍5G技术,学生和老师只需要开通相应的5G服务,就可以高效、快捷、实时地接入校园网,使用学校提供的各种资源。用户后续使用无需再次输入用户密码,而且不需要安装任何客户端,极大地提高了使用的效率,解决了反向代理和VPN存在的各种问题,并且可以有效地防止账户信息泄露或私借账号对校园网带来的安全风险。目前5G已经大量使用在各种复杂场景中。
5G技术介绍
我国5G建设现状
5G作为我国国家战略的重要组成部分,已经在我国取得了举世瞩目的成就。截至2023年第二季度,我国已建成5G基站达到293.7万个,占移动基站总数的26%,占全球5G基站部署量的65.5%。这些5G基站已经覆盖了我国所有地级市城区、县城城区,以及部分乡镇、农村等地区,为5G应用提供了广泛的网络支撑。
图1 中国5G基站部署情况
(图片来自5G产业和市场发展报告 2023 Q2)
我国5G用户达6.76亿,占全球5G用户数的55.4%,已发展成为全球规模最大的5G市场。目前各大运营商均已支持5G回落4G的功能,即使在4G网络也可以使用5G的部分能力,极大扩展了可用空间和用户群体。并且在高校师生群体中,5G用户占比较高,这为高校利用5G技术提供教学、科研和学习创造了坚实的基础。
5G的应用场景
5G作为一项创新性的技术,在各个领域展现了巨大的潜力。截至2022年,5G已在全国523家医疗机构、1796家工厂企业、201家采矿企业、256家电力企业中得到商业应用。在高校教育领域,5G的应用同样变得越来越重要。
高校利用5G技术打造超高清直播互动课堂,学生可以无缝地在校园内或校外接收到高质量的教学内容,并与教师和其他同学实时互动,大幅提升了教学效果和学习体验。5G与AR和VR技术相结合,使得沉浸式教学成为可能,学生可以通过穿戴式设备,进入虚拟世界或与真实环境进行交互,提升实践与体验能力。此外,5G也为远程实验和训练提供了更好的条件。借助于5G网络的低时延和高可靠性,学生可以远程使用实验设备或参与虚拟仿真实验,拓宽了学习资源的边界。
不仅如此,5G还能改善校园管理和评价体系。通过5G技术,学校可以实现智能化的校园监控和安全管理,提高校园环境的安全性和教学质量。同时,5G的高速网络和大数据分析手段,可用于教学评价和学生综合素质的考核,更加客观和准确地评估学生的学习成果。因此,5G不仅对高校教学、学习和科研等方面提供了诸多创新应用,还推动了数字化转型的进程。高校应充分认识和利用5G的优势,积极探索和应用相关技术,致力于构建更智慧、更高效的教育环境,推动教育的现代化发展。
5G切片技术
5G网络切片技术是运营商根据不同场景下的时延、带宽、安全性、可靠性等需求,把物理网络划分为不同层次的逻辑网络,为各种类型的业务提供定制化的网络服务。常见的切片方案包括:基于SDN的5G切片方案,利用SDN的集中控制和灵活转发特性,实现网络资源的动态分配和优化;基于机器学习和深度学习的5G切片方案,利用机器学习和深度学习的智能化能力,实现网络切片的自动化管理和优化;基于NFV的5G切片方案,利用NFV的虚拟化和软件化能力,实现网络功能的快速部署和灵活调整。通过5G网络切片技术,可以优化网络资源分配,实现最大成本效率,满足多元化要求。
5G校园网接入方案
图2 校园网5G接入架构
接入架构
校园网5G接入架构如图2所示,物理网络上各运营商通过光纤专线与学校网络互联,UPF与学校5G网关建立GRE隧道,用于传输用户数据和服务相关数据。授权用户通过附近的基站接入网络后数据通过专用切片到达运营商本地网络,UPF根据策略进行数据分流到达学校5G网关,完成数据传输。由于三家运营商分配给用户侧IP均为10网段的A类地址,相互之间存在地址冲突,并且与校内使用的10网段也不兼容,故需要对用户的IP做地址转换,实现与校园网内网互联。
路由策略
用户的数据通过切片到达本地运营商网络后需要进行分流,运营商主要提供了两种分流模式:一种是将用户流量全部路由到学校,由学校侧统一调度。这种方案简化了运营商的策略,使学校能够灵活控制用户的网络访问。然而,该方案需要较大的带宽,从而增加了整个项目的建设成本。此外,用户的普通互联网流量也没有必要经过学校。另一种模式是通过策略路由的方式,运营商根据目的IP或域名将用户的特定流量路由到学校。通过策略路由,能够根据实际情况将用户流量合理地引导到学校。这样可以降低带宽需求和建设成本,同时保证用户在使用本地网络时获得最佳体验。
用户开通流程
图3 用户开通和使用流程
用户的开通和使用流程如图3所示,各大运营商通过自建的中间系统打通自己的BOSS系统和学校的5G网关数据。当用户申请开通5G服务后由学校统一身份认证系统进行身份识别,认证成功后返回用户的通用唯一识别码UUID和电话号码等基础信息,运营商将其和自己BOSS系统中的数据进行比对,确认无误后为用户开通学校对应的5G套餐,同时学校的5G网关对用户的身份信息进行绑定,从而完成服务的开通。后续用户可通过运营商或学校的注销页面完成套餐的注销操作,注销数据将自动同步完成。
无感知二次认证
为了给用户提供更好的服务和保障校园网的安全,用户数据到达学校后需要进行二次认证。运营商对需要转发到校内的数据包进行重新封装,并插入头增强信息。当这些数据包到达5G网关后,5G网关将提取其中的信息,目前主要是用户的电话号码,与本地数据和策略进行比对,以完成用户身份的二次鉴权,整个过程对用户而言是无感知的。
安全保障
用户接入到校园网内网以后,通过5G网关对用户进行分组管理,不同的用户组对应不同的IP地址段,然后由防火墙对用户组设置不同的访问策略,有效隔离内网和5G网络。用户身份或信息变更以后,通过API及时更新5G网关上的用户信息和准入策略,防止学生毕业或者老师离职后的越权访问。并且通过态势感知系统,实时审计用户行为,当用户出现恶意访问或攻击行为时,及时在5G网关上阻断用户接入校园网,并将用户访问重定向到警告页面,在人工核验后决定是否允许用户继续使用5G服务接入校园网。这样通过多种手段,既为用户提供了便捷的接入方案,又有效地保障了校园网的安全。
总结
本文通过5G访问高校校内资源,充分利用5G技术的特点和优势,实现高校校内资源的无线化、移动化、智能化和云化,使教师和学生能够随时随地、灵活便捷、安全可靠地访问高校校内资源,提高高校校内资源的利用效率和价值。帮助高校建立一套安全、高效、便捷的校内资源访问机制,使师生能够在任何地点、任何时间、任何设备上,都能够轻松地使用高校的校内资源,提高信息化服务的质量和水平。同时,也帮助高校加强对校内资源的管理和保护,防止资源的滥用和泄露,维护高校的信息安全和声誉。
来源:《中国教育网络》2023年11月刊
作者:钟勇(西南财经大学信息化与大数据管理中心)
责编:陈荣